Docker 使用centos 7.8(3.10.0-1127.el7.x86_64)的kubernetes 1.18.6和calico网络CNI上的Istio 1.5.7安装失败
我在centos-7.8(3.10.0-1127.el7.x86_64)的多节点(12GB RAM和4 CPU)上安装了全新的k8s 1.18.6,docker版本(19.03.6)和runc版本1.0.0-rc10。 我使用了calico(3.11.1)网络插件,直到这里一切正常 好的当我试图在上面安装istio 1.5.7时,我面临一个问题 如下 问题:Docker 使用centos 7.8(3.10.0-1127.el7.x86_64)的kubernetes 1.18.6和calico网络CNI上的Istio 1.5.7安装失败,docker,kubernetes,centos7,istio,Docker,Kubernetes,Centos7,Istio,我在centos-7.8(3.10.0-1127.el7.x86_64)的多节点(12GB RAM和4 CPU)上安装了全新的k8s 1.18.6,docker版本(19.03.6)和runc版本1.0.0-rc10。 我使用了calico(3.11.1)网络插件,直到这里一切正常 好的当我试图在上面安装istio 1.5.7时,我面临一个问题 如下 问题: 检测到您的群集不支持第三方JWT 认证。回到不太安全的第一方JWT。看见 详情请参阅 错误安装程序无法等待资源:资源不可用 10毫秒后准备
因此,我建议采用这种方法:
- 将4GB的RAM添加到集群中
- 使用较新版本的istio
- 安装istio时使用
--设置值.global.jwtPolicy=first party jwt
我的建议是在尝试安装之前使用Istio v1.8并禁用Calico。从您提供的日志中可以看出,您的群集不支持第三方JWT身份验证。安装istio时,是否可以尝试使用
--设置值.global.jwtPolicy=first party jwt
?istio中有与此相关的部分。还值得注意的是,已经有ISTIO版本1.82.考虑到由于改进而安装了新版本。嗨,Jakub,谢谢你回复我的帖子。我试过按照你的建议使用旗子,但我还是失败了。在命令中添加它之后,这个标志没有任何影响。我使用它的方式如下:“istioctl manifest apply--set profile=demo--set values.global.jwtPolicy=first party jwt”这很奇怪,你有可能在你的设置中添加4GB的ram吗?如果我没记错的话,istio至少需要16GB的ram,也许正因为如此,它才被压垮了。
kubectl get --raw /api/v1 | jq '.resources[] | select(.name | index("serviceaccounts/token"))'
{
"name": "serviceaccounts/token",
"singularName": "",
"namespaced": true,
"group": "authentication.k8s.io",
"version": "v1",
"kind": "TokenRequest",
"verbs": [
"create"
]
}